Regolamento delegato (UE) 2022/30 (RED)

Regolamento RED 2022 30 sicurezza dispositivi wireless industriali con protezione comunicazioni e rete OT

Il Regolamento delegato (UE) 2022/30 integra la Direttiva RED (2014/53/UE) introducendo requisiti obbligatori di cybersecurity per le apparecchiature radio connesse.

In ambito OT (Operational Technology), questo regolamento ha un impatto diretto su tutti i dispositivi industriali dotati di connettività wireless, come Wi-Fi, Bluetooth e reti cellulari (4G/5G).

Regolamento RED 2022 30 ambito di applicazione

Il regolamento attiva specifici requisiti di sicurezza per categorie di dispositivi radio che presentano rischi cyber rilevanti.

  • Apparecchiature radio connesse a Internet (direttamente o tramite gateway)
  • Dispositivi che trattano dati personali o di localizzazione
  • Dispositivi che gestiscono trasferimenti di valore o transazioni

Nel contesto industriale, rientrano tipicamente gateway IoT, router industriali, sensori wireless e sistemi di comunicazione macchina-rete.

Regolamento RED 2022 30 requisiti di cybersecurity

Il Regolamento 2022/30 rende obbligatori tre requisiti fondamentali già previsti dalla RED.

  • Art. 3.3(d): protezione della rete da degrado o uso improprio delle risorse
  • Art. 3.3(e): protezione dei dati personali e della privacy
  • Art. 3.3(f): prevenzione delle frodi

Questi requisiti rappresentano il primo vero passo verso la cybersecurity by design per i dispositivi connessi.

Regolamento RED 2022 30 e sicurezza dispositivi wireless OT

In ambito OT, il Regolamento RED 2022/30 si applica ai punti di interconnessione tra macchina e rete, ovvero ai dispositivi che espongono l’impianto verso l’esterno.

  • Moduli Wi-Fi e Bluetooth integrati in macchine
  • Gateway di comunicazione verso SCADA, DCS o cloud
  • Sistemi di accesso remoto per manutenzione

Il rischio principale non è la macchina in sé, ma la sua esposizione tramite interfacce radio non adeguatamente protette.

Protezione delle comunicazioni e prevenzione delle frodi

Particolare rilevanza assume l’articolo 3.3(f), che introduce requisiti per la prevenzione delle frodi nei sistemi connessi.

  • Integrità dei dati trasmessi (es. misure energetiche, consumi)
  • Autenticazione forte dei dispositivi
  • Protezione contro attacchi di replay
  • Resistenza a manomissioni fisiche e logiche

Questi requisiti sono fondamentali in applicazioni come smart meter, colonnine di ricarica e sistemi di contabilizzazione industriale.

Relazione con Regolamento Macchine e sicurezza OT

Il Regolamento RED e il Regolamento Macchine operano su livelli diversi ma complementari.

  • RED 2022/30: sicurezza delle comunicazioni e dei dispositivi radio
  • Regolamento Macchine: sicurezza funzionale e comportamento sicuro

Ad esempio, il Regolamento Macchine richiede che una perdita di segnale wireless non generi condizioni pericolose, mentre la RED richiede che il segnale stesso sia protetto da manipolazioni.

Standard armonizzati EN 18031

La conformità ai requisiti del Regolamento 2022/30 è supportata dalla serie di norme armonizzate EN 18031.

  • EN 18031-1: protezione della rete e delle comunicazioni
  • EN 18031-2: protezione dei dati personali
  • EN 18031-3: prevenzione delle frodi

Queste norme consentono di dimostrare la presunzione di conformità ai requisiti della RED.

Evoluzione normativa: passaggio al Cyber Resilience Act

Il Regolamento 2022/30 rappresenta una fase transitoria nel percorso normativo europeo.

Con l’entrata in vigore del Cyber Resilience Act (CRA), i requisiti di cybersecurity verranno armonizzati e ampliati, evitando sovrapposizioni tra normative.

In prospettiva, il CRA diventerà il riferimento principale per la sicurezza dei prodotti digitali, mentre la RED manterrà il focus sugli aspetti radio.

Conclusione

Il Regolamento RED 2022/30 introduce per la prima volta requisiti concreti di cybersecurity per i dispositivi wireless, con un impatto diretto sugli impianti industriali connessi.

La sicurezza OT passa quindi anche dalla protezione delle interfacce radio, che rappresentano uno dei principali punti di ingresso per attacchi esterni.